Cerro Colorado 5240 Torre I, Piso 18

Las Condes, Santiago de Chile.

+56 2 2638 1527

contacto@ga-abogados.cl

Mantente siempre informado.

Blog

¿Cambiando de dirección? Reino Unido consulta reformas a su ley de protección de datos.

En septiembre, el Departamento de Medios Digitales, Cultura y Deporte del Reino Unido publicó un documento de consulta sobre el futuro de la ley de protección de datos en el Reino Unido.

La consulta propone una serie de cambios en la ley de protección de datos del Reino Unido. Algunos son pequeños cambios y aclaraciones destinados a resolver las incertidumbres en la redacción del Reglamento general de protección de datos de la UE, mientras que otros son reformas fundamentales para el funcionamiento de las leyes de protección de datos del Reino Unido y las obligaciones y protecciones que conllevan. Todas las organizaciones que operan en el Reino Unido deberían estar interesadas en posibles cambios en:

  • Derechos del interesado (para hacerlos menos gravosos).
  • Responsabilidad (potencialmente gravoso).
  • Transferencias de datos (significativamente más flexibilidad).
  • Privacidad electrónica (posiblemente útil, aunque las propuestas no están claramente articuladas).

También hay propuestas de gran interés para los involucrados en la investigación y la IA, y reformas sobre los poderes y la gobernanza de la Oficina del Comisionado de Información, la autoridad supervisora.

La consulta está abierta a todos los encuestados hasta el 19 de noviembre. El documento DCMS establece preguntas estructuradas sobre cada uno de los cambios propuestos y anima a los encuestados a proporcionar sus propios puntos de vista y experiencias sobre los desafíos y posibles soluciones que presenta el régimen actual del Reino Unido. A continuación, resumimos los principales cambios propuestos en el documento de consulta, con un código de colores que muestra el grado de cambio en el marco de cumplimiento de protección de datos existente en el Reino Unido. Verde significa que una propuesta no hace ningún cambio significativo al marco legal existente, ámbar un cambio medio y rojo un cambio significativo.

Derechos del interesado

Esta propuesta será bienvenida por los controladores en el Reino Unido. Muchas organizaciones han sentido la carga de las “DSAR armadas” y la introducción de un límite de costos reduciría esta carga. La sugerencia hecha por DCMS es que esto debería basarse en el régimen existente y bien establecido bajo la Ley de Libertad de Información, que permite a las autoridades públicas rechazar solicitudes de libertad de información que cuestan más de 450 a 600 libras (dependiendo del tipo de organización). Las partes interesadas que deseen responder a la consulta deben considerar enviar información sobre cuál debe ser el límite de costo o los criterios utilizados para establecerlo. Una escala móvil según el volumen de negocios y el sector puede ser un buen modelo.

Responsabilidad

La desviación del marco de responsabilidad del RGPD existente es desconcertante. La razón declarada por el DCMS para la reforma propuesta es que las obligaciones de rendición de cuentas actuales colocan una “carga administrativa desproporcionada” en las organizaciones, sin embargo, sus propuestas implican reemplazar los requisitos de rendición de cuentas existentes con otras obligaciones muy similares (y no menos onerosas). Con la excepción del umbral más alto para la notificación de infracciones, todos los demás requisitos de responsabilidad se han reemplazado por un requisito de cumplimiento diferente, a menudo dejando a las organizaciones la elección del formato. Esto probablemente crearía más trabajo para las organizaciones, que tendrían que evaluar si su documentación GDPR existente coincide con los nuevos requisitos del Reino Unido. Por ejemplo, Existe una sugerencia de que los oficiales de protección de datos de GDPR no podrían servir como la persona responsable del programa de gestión de privacidad (ya que la independencia que requieren para los propósitos de GDPR los descalificaría, implícitamente, de este nuevo rol), por lo que una organización que eligió retener su RPD tendría que nombrar a un profesional de protección de datos adicional (164). Las propuestas parecen diferir del GDPR sin proporcionar ningún beneficio discernible a las organizaciones en el Reino Unido.

Transferencias de datos

A raíz de “Schrems II” y la guía EDPB asociada, la transferencia de datos fuera de la UE y el Reino Unido ha sido complicada. La consulta propone una serie de reformas para mejorar el aspecto del Reino Unido de esto, desde fomentar la adopción de los mecanismos existentes (uso de códigos de conducta) hasta ampliar los mecanismos existentes (como las excepciones del artículo 49 del RGPD). También incluye una propuesta más controvertida para permitir a los exportadores tomar sus propias decisiones sobre cómo proteger los datos personales que se transfieren fuera del Reino Unido, incluso mediante el uso de contratos desarrollados por las partes contratantes sin la revisión o aprobación de la ICO. Esta propuesta se basa en el enfoque adoptado en Nueva Zelanda y fue posible en el Reino Unido en virtud de la Ley de Protección de Datos de 1998.

También hay propuestas para cambiar el proceso de evaluación de la adecuación de terceros países del Reino Unido (véanse los apartados 247-254), que no se evalúan en este artículo ya que no afectan directamente a los requisitos de cumplimiento.

Cambios en ePrivacy

La consulta ha sido ampliamente anunciada como una reforma del RGPD del Reino Unido, pero también se ha incluido una sección sobre las Regulaciones de Privacidad y Comunicaciones Electrónicas del Reino Unido. La mayoría de los cambios en esta área son relativamente menores y es probable que sean bienvenidos tanto por los responsables del tratamiento como por los interesados. Existe un intento de obtener el apoyo de todos los partidos para al menos algunas de las propuestas proponiendo eximir a los partidos políticos de estas reglas en su totalidad, aunque el documento de consulta reconoce que la perspectiva de recibir llamadas automáticas de los partidos políticos puede no ser bienvenida. por todos.

La propuesta también incluye un llamado a opiniones sobre cómo las organizaciones podrían cumplir con los principios de legalidad, equidad y transparencia del GDPR “sin el uso de avisos emergentes de cookies ”Esta sección hace referencia a la configuración del navegador como una opción posible, pero no ofrece otras sugerencias, por lo que es difícil evaluar el posible impacto de esto.

Investigación y reutilización de datos

De acuerdo con la Estrategia Nacional de Datos del gobierno del Reino Unido, el documento de consulta impulsa reformas para fomentar la investigación en el Reino Unido. El documento enfatiza que las leyes de protección de datos son complejas y difíciles de navegar, lo que desalienta a los investigadores a utilizar datos personales.

La propuesta de consolidar todas las disposiciones de protección de datos específicas de la investigación puede lograr el objetivo de aportar una mayor claridad al ámbito, aunque es poco probable que tenga un impacto importante. La propuesta también sugiere trasladar una serie de considerandos relacionados con la investigación a los artículos del RGPD del Reino Unido para aumentar la seguridad jurídica. Como parte de esto, el RGPD del Reino Unido definiría la investigación científica en la ley, y la consulta busca opiniones sobre cómo debería definirse.

También hay una propuesta para incluir una nueva base legal para la investigación científica en virtud del artículo 6 del RGPD del Reino Unido, a fin de que coincida con la condición para el procesamiento de datos personales sensibles con fines de investigación en virtud del artículo 9. Actualmente, es probable que los investigadores se basen en que la investigación sea necesaria para una tarea de interés público o necesaria para un interés legítimo, por lo que no está claro qué beneficio reportaría; además, en la medida en que la claridad pudiera ayudar, podría lograrse mediante la orientación en lugar de la legislación primaria.

Gran parte de la discusión sobre investigación se centra en los desafíos que enfrentan las universidades. El sector privado también es una parte fundamental de la base de investigación del Reino Unido y sería aconsejable que las organizaciones del sector privado que se dedican a la investigación dejen en claro al DCMS que sus intereses también deben ser considerados.

La consulta incluye una serie de propuestas sobre cómo cambiar la ley relativa a la reutilización de datos con fines de investigación. Las propuestas en este ámbito no son del todo claras y, en algunos casos, son contradictorias. Incluyen aclarar que se permite un consentimiento amplio cuando se obtiene el consentimiento para la investigación y que la reutilización para la investigación es siempre compatible con el propósito original, los cuales serían bienvenidos pero podrían lograrse mediante una guía regulatoria en lugar de una nueva legislación. También hay propuestas (poco claras) para permitir un procesamiento posterior con fines incompatibles cuando esto salvaguarda un interés público importante (54). La Ley de Protección de Datos de 2018 ya permite esto para los fines de interés público especificados en el Anexo 2. Permitir que el interés público general anule la limitación del propósito debilitará significativamente las protecciones para las personas.

También llama la atención que la consulta no haga ninguna referencia a las leyes relativas a la confidencialidad del paciente más allá de la ley de protección de datos. En la experiencia de los autores, es la ley en esta área la que constituye la mayor limitación para la investigación, tanto por principio como por la incertidumbre en la interpretación. Ninguna cantidad de orden en la ley de protección de datos logrará un beneficio significativo a menos que esto se aborde.

Intereses legítimos

DCMS propone la creación de una lista de intereses legítimos para los cuales no sería necesario realizar una evaluación de intereses legítimos, ya que la legislación reconocería que los propósitos de procesamiento siempre superan los intereses de las personas. La lista propuesta es relativamente limitada y no controvertida y reduciría la carga de las obligaciones de documentación.

IA y aprendizaje automático

El documento de consulta señala que “actualmente, un profesional de la inteligencia artificial debe considerar cada caso de uso individualmente y determinar cada vez si el régimen de protección de datos permite las actividades”. Nuestra opinión es que esta declaración no solo es válida para cualquier actividad de procesamiento en cualquier industria, sino también para otras consideraciones legales fuera de la protección de datos. La aplicación de la ley siempre se basa en los hechos relevantes y, en consecuencia, los nuevos proyectos requerirán nuevas evaluaciones de la ley.

La propuesta de reformar la ley para facilitar el uso de datos personales sensibles para la detección y corrección de sesgos probablemente sea innecesaria. El marco existente bajo el RGPD del Reino Unido y la Ley de Protección de Datos lo permite, y la ICO ya ha proporcionado una guía específica del sector en esta área.

La propuesta de apoyar el desarrollo y uso de intermediarios de datos podría ser muy beneficiosa para las organizaciones que comparten datos con fines de investigación y desarrollo. Aunque el documento de consulta es muy ligero en detalles en esta área, la propuesta es bienvenida y podría permitir marcos innovadores para el intercambio de datos dentro del marco de protección de datos existente.

La propuesta tiene una discusión interesante sobre la “equidad” algorítmica: postula que la determinación de lo que es justo debería dejarse a los reguladores específicos del sector en lugar de a la ICO (79).

También sugiere aclarar cuándo los datos se considerarán “anónimos”. Las sugerencias de escribir el considerando 26 en el texto del RGPD del Reino Unido parecen agregar poco a la orientación actual de la ICO sobre este tema. Más interesante aún, DCMS sugiere que puede estipular que la anonimización debe evaluarse en función de si es probable que el controlador pueda identificar al interesado. Esta sería una prueba más permisiva que la establecida en el GDPR, que requiere que uno considere la probabilidad de identificación por parte del controlador o por otra persona (es decir, por cualquier persona). En efecto, esto sería un retorno a las disposiciones de la Ley de Protección de Datos de 1998. La propuesta ayudaría a aclarar que si la parte A entrega datos no identificados a la parte B pero retiene los datos identificables subyacentes, el hecho de que la parte A aún pudiera identificar a las personas en los datos no daría lugar automáticamente a que los datos fueran personales en manos de la parte B. Actualmente, si los datos se ponen a disposición del público en general (en lugar de un grupo limitado de destinatarios), es típico que se requiera un estándar más alto de desidentificación para lograr el anonimato, ya que es más difícil evaluar los motivos y los medios que un actor desconocido puede tiene que identificar los datos. No está claro cómo la propuesta protegería a las personas en esta situación. ya que es más difícil evaluar los motivos y los medios que un actor desconocido puede tener para identificar los datos. No está claro cómo la propuesta protegería a las personas en esta situación. ya que es más difícil evaluar los motivos y los medios que un actor desconocido puede tener para identificar los datos. No está claro cómo la propuesta protegería a las personas en esta situación.  

Reforma de ICO

Las enmiendas otorgan a la ICO poderes de ejecución más sólidos y también cambiarán los plazos para las acciones de ejecución. La extensión del período de prescripción para las investigaciones, en particular, le dará a la ICO más tiempo para evaluar si debe o no emitir un aviso, aumentando potencialmente el número de avisos emitidos. Las propuestas no son desproporcionadas y es probable que tengan un impacto beneficioso en el entorno regulatorio del Reino Unido.

La reforma también incluye enmiendas sustanciales al gobierno interno de la ICO y la relación con su departamento patrocinador, DCMS. Estos cambios, si se implementan, tendrían un gran impacto en la función y el funcionamiento de la ICO, pero no los hemos abordado en detalle en este documento, ya que no afectarían directamente las obligaciones de cumplimiento para los controladores y procesadores de datos. Los aspectos más destacados de las reformas propuestas son:

  • El paso de una corporación única (el Comisionado de Información) a un modelo más corporativo, donde el comisionado sería el presidente de la ICO con un CEO separado.
  • ICO asumirá el papel de Comisionado de Biometría y Comisionado de Cámaras de Vigilancia.
  • Un marco legal que establece los objetivos estratégicos de la ICO (sugeridos como la defensa de los derechos de los datos y el fomento del uso de datos confiable y responsable) y las prioridades.
  • Una obligación expresa de considerar la conveniencia de promover el crecimiento económico (ya relevante bajo la Ley de Desregulación de 2015), considerar el impacto de sus actividades en la competencia y en la seguridad pública, y una obligación legal de compartir datos con algunos otros reguladores, incluida la CMA. .
  • La ICO tendría que adoptar e informar sobre los indicadores clave de desempeño (para aquellos frustrados por los retrasos en las aprobaciones de las reglas corporativas vinculantes, ¿tal vez esto podría sugerirse?).
  • Disminuir la obligación del ICO de atender las quejas de bajo nivel y que esta sea sustituida por la obligación de los controladores de tener publicadas las políticas de quejas y de publicar información sobre el número y tipo de quejas recibidas.

Los cambios propuestos cambiarían significativamente el panorama de protección de datos del Reino Unido. Como hemos discutido anteriormente, algo de esto sería bienvenido mientras que otras propuestas son problemáticas o poco claras. Alentamos a las organizaciones a considerar qué áreas de la propuesta pueden ser relevantes para ellas y a participar con DCMS en esos temas.

Fuente: IAPP. https://iapp.org/news/a/changing-direction-uk-consults-reforms-to-its-data-protection-law/

Compartir

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email